Desde los legendarios días de las cintas de datos y los discos flexibles, los virus han utilizado los dispositivos de almacenamiento móviles para desperdigarse entre ordenadores o, más correctamente, han utilizado los ordenadores para invadir los dispositivos de storage.

El ataque de Flame, sin embargo lleva este tipo de infección a un nuevo nivel. En los análisis que se han realizado sobre este nuevo y dañino tipo de ataque, la firma de seguridad BitDefender ha destacado un componente de Flame que utiliza medios de storage, como portador de los datos fuera de instalaciones seguras. En ordenadores no conectados a Internet, Flame espera hasta que se inserta un dispositivo USB. Es en ese momento cuando comienza a copiarse, no sólo a sí mismo, aunque sí de forma primordial, sino también una lista priorizada de documentos y datos robados.

Mientras que los empleados deshonestos han venido sacando frecuentemente los datos sensibles con medios físicos de almacenamiento, ésta puede ser la primera vez en que el uso de un malware utiliza a trabajadores desapercibidos, como “mulas de información”, explica Bogdan Botezatu, analista senior de amenazas en la firma rumana de seguridad BitDefender.

“Este escenario es curioso, no hemos visto nada parecido antes”, asegura. “El dispositivo USB no es tanto una ventana abierta hacia el malware, sino una mula de información. Se emplea, sobre todo, como sistema de storage central de datos en un entorno protegido”.

El término “mula” se adopta de las prácticas de tráfico de drogas; gente que transporta ilegalmente sustancias entre fronteras. En el mundo del ciber-crimen, la gente que, de forma inadvertida, utiliza credenciales falsas para robar dinero y entonces lo envía al responsable de una organización ilegal, también se denominan así.

En el caso de Flame, los autores esperaban conseguir sacar la información de ordenadores seguros y que no tienen acceso a Internet, con este mismo sistema, asegura Botezatu. “Como este trozo de malware ha sido diseñado para espiar ordenadores situados en entornos industriales, los atacantes esperaban que el malware encontraría algunas restricciones y políticas de seguridad de refuerzo para blindar el perímetro de red protegido”, señala el experto en un site de BitDefender.

Como los ordenadores infectados con Flame no se conectan a Internet, se ha buscado infectar cualquier dispositivo USB conectado al sistema. Una vez hecho, el malware comienza a copiar archivos desde el sistema al dispositivo extraíble, dando especial prioridad a documentos Word, Excel y PowerPoint. Si el dispositivo tiene suficiente espacio, copiará también archivos CAD y, al final, también JPEGs.

Cuando el dispositivo infectado se inserta en otro ordenador, esparce el virus, aunque esta funcionalidad parece estar inactiva. En vez de eso, el programa intentará conectarse a Internet sólo sobre sistemas ya infectados. Si Flame no puede comunicarse con servidores Command-and-Control, volverá a copiar archivos, limpiando documentos de baja prioridad para dejar espacio adicional.

Si el nuevo sistema puede conectar con este servidor, entonces Flame copiará los contenidos del USB al ordenador y su tarea estará completada.

“Lo realmente importante es que Flame no almacenará documentos robados hasta que esté seguro de que el stick de memoria concreto ha sido conectado a un sistema con acceso a Internet o, para ser más preciso, a un sistema que ha logrado contactar con servidores C&C”,  concluye Botezatu.

14/06/2012 PCWORLD PROFESIONAL